为什么我在 Windows 防火墙上看到很多传入的 netbios 活动?

为什么我在 Windows 防火墙上看到很多传入的 netbios 活动?

在启用 Windows FW 上的默认行为(阻止传入、允许传出)后,我发现端口 137 和 138(netbios)上出现大量防火墙丢弃。为什么所有 netbios 活动都针对我?有人能解释此活动背后的技术原因吗?

谢谢

答案1

NetBIOS 是一种网络通信协议,设计于 30 多年前。WINS 的开发就是为了将其用作运行专用 DNS 服务的替代方案。服务器会将其名称的前 16 个字符作为其 NetBIOS 名称;当您创建新的 Active Directory 名称时,您要定义的内容之一就是域的 NetBIOS 名称。

一旦它有了自己的 NetBIOS 名称,它就会将其广播给网络上的所有人。如果没有人发送拒绝消息说它已经在使用中,那么它会再次将其作为注册进行广播。这意味着该网络上的每台计算机都会在其本地缓存中注册该计算机的 NetBIOS 名称。您可以通过运行来查看nbtstat

PS C:\..\mklink>nbtstat -r
NetBIOS Names Resolution and Registration Statistics
----------------------------------------------------
Resolved By Broadcast     = 0
Resolved By Name Server   = 0
Registered By Broadcast   = 12
Registered By Name Server = 0

PS C:\..\mklink>nbtstat -n
Ethernet 2:
Node IpAddress: [10.212.134.72] Scope Id: []
            NetBIOS Local Name Table
   Name               Type         Status
---------------------------------------------
DESKTOP        <00>  UNIQUE      Registered
DOMAIN         <00>  GROUP       Registered

由于 NetBIOS 是基于匿名广播和响应工作的,因此使用工具来发现网络上的资源非常容易。这导致禁用 NetBIOS。这是通过在防火墙上阻止传入请求来禁用的,它不会阻止传出请求,这就是为什么您仍会获得自己的注册。NetBIOS 协议仍由其他服务使用,这就是为什么它没有被彻底禁用的原因。

简短的回答是,许多服务都使用 NetBIOS,并且仅在防火墙处阻止传入信息以防止网络发现攻击。

相关内容